18 במאי 2024 22:18

חובת צמצום מידע לפי הדין הישראלי: הרשות מגלה דעתה בנושא

הרשות להגנת הפרטיות פרסמה לאחרונה (25.3.2021) טיוטה של גילוי דעת בנושא צמצום המידע האישי המצוי במאגרי המידע של ארגונים שונים, הן פרטיים והן ציבוריים.

הרשות מנמקת כי "נוכח העלייה בהיקף התרחשותם של אירועי אבטחת מידע חמורים, הרשות להגנת הפרטיות מפרסמת מסמך המדגיש את הסיכונים לפרטיות העלולים להיגרם כתוצאה מאיסוף, שמירה ושימוש במידע עודף, ואת החשיבות והתועלת בצמצומו של מידע זה".

במסמך, אשר מפורסם בשלב הראשון לקבלת התייחסויות והערות מאת הציבור, מפרטת הרשות המלצות ודגשים לארגונים במשק ולגופים ציבוריים כיצד לפעול במטרה להביא לצמצום האיסוף, השמירה והשימוש במידע עודף. הרשות מציינת כי אי-צמצום מידע עודף על-ידי בעל המאגר שמצא כי מידע שכזה שמור אצלו, עשוי בנסיבות מסוימות להוות הפרה של תקנות הגנת הפרטיות (אבטחת מידע).

הרשות מדגישה במסמך את עיקרון צמידות המטרה ולפיו, כאשר מידע שנאסף חורג מהמטרה שלה הסכים מושא המידע או שמטרה זו כבר מומשה, יש למחוק אותו  כך ששמירתו מהווה הפרה של החוק. בהקשר זה מדגישה הרשות גם את הוראת תקנה 2(ג) לתקנות אבטחת המידע, המחייבת על ארגון לבחון אחת לשנה אם אין במערכותיו מידע אישי עודף שיש למחוק אותו. בהקשר זה קובעת הרשות כי רצוי שבדיקה כזו תיערך מספר פעמים לאורך השנה, בהתאם לסוג המידע השמור ומטרת איסופו, וזאת על מנת להימנע ממצב בו מידע עודף נשמר במאגר ללא הצדקה לפרקי זמן ארוכים.

עוד הדגישה הרשות כי על גורמים אשר אוספים מידע מתוקף הסכמה או הסמכה שבחוק, להקפיד על כך שהמידע שייאסף יהיה רלוונטי ונדרש לשם השגת מטרת איסוף המידע ומטרת המאגר בו הוא נשמר. הרשות ממליצה לכלל הגורמים הרלוונטיים להטמיע את עיקרון צמצום המידע העודף במסגרת פעילותם ומדגישה כי שמירת מידע שלא למטרה לשמה הוא נמסר ולמטרת המאגר, או שלא לצורך מטרות נלוות החיוניות עבורן, כגון לצורך התדיינות משפטית או חובה חוקית לשמירת המידע, מגדילה את הסיכון לפגיעה בפרטיות ולהפרת חובות אבטחת המידע. הרשות מזכירה גם כי גופים ציבוריים המקבלים מידע על פי תקנות העברת מידע בין גופים ציבוריים מחויבים במחיקת מידע עודף מיד עם קבלת הנתונים. בנסיבות בהן מגיע בעל מאגר למסקנה כי מידע מסוים השמור במאגר הוא עודף, ואינו פועל לצמצום מידע זה, קובעת הרשות כי התנהלות זו עלולה להוות הפרה של הוראות תקנות אבטחת המידע וכי בעל המאגר אף עלול להיות חשוף בגינה לתביעות אזרחיות. במקרים ספציפיים בהם עשויה להתקיים חובה סטטוטורית לצמצום מידע עודף – כגון חובה לתקן או למחוק מידע בתנאים הקבועים בסעיף 14 לחוק הגנת הפרטיות – מורה הרשות כי על הגורמים הרלוונטיים לפעול לצמצום המידע בהקדם בהתאם לקבוע בהוראות הדין.

הרשות מזמינה את הציבור להעביר לה התייחסויות והערות למסמך ולהשפעותיו עד לתאריך ה-29.04.21.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

דירוג האיכות של Dun's 100 לשנת 2024: משרד דן חי ושות' דורג שוב בקבוצת האיכות הראשונה בתחום הסייבר

דירוג האיכות של מדריך dun’s 100 פרסם את דירוג משרדי עורכי הדין לשנת 2024. בתחום הסייבר המדריך דירג, את משרד דן חי ושות', שוב, תחת ...

הרשות להגנת הפרטיות פרסמה גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות

בעת האחרונה ישנה מגמה גוברת של בתי עסק הדורשים מהלקוח למסור מספר תעודת זהות לצורך מתן שירות, ולעיתים אף דורשים למסור צילום של תעודת הזהות ...

טיוטת מסמך מדיניות חדשה בנושא איסוף ושימוש במידע ביומטרי במקום העבודה

על רקע המגמה הגוברת בשימוש טכנולוגיות לזיהוי ביומטרי אשר נעשה על ידי ארגונים לצרכי בקרת נוכחות עובדיהם, הרשות להגנת הפרטיות פרסמה לאחרונה (15.02.2024) מסמך מדיניות ...

באירופה עובדים. ה-AI ACT אושר.

מאת : צוות דן חי הפרלמנט האירופי אישר (13.03.2024) את תקנות הבינה המלאכותית (AI ACT). המדובר בחקיקה הראשונה מסוגה בעולם ובאה להסדיר את הפיתוח ההפעלה ...
דילוג לתוכן